Thay đổi là một phần của cuộc sống, và không có gì giữ nguyên quá lâu, ngay cả với các nhóm hack, chúng nguy hiểm nhất khi hoạt động trong im lặng hoàn toàn. REvil khét tiếng ransomware băng đảng, có liên hệ với JBS và Kaseya khét tiếng, đã nổi lên ba tháng sau khi các thành viên của nó bị bắt ở Nga.
Cơ quan tình báo nội địa Nga, FSB, đã bắt được 14 người từ băng đảng này. Trong vụ khủng bố này, 14 thành viên của băng nhóm này đã bị phát hiện sở hữu 426 triệu rúp, 600.000 USD, 500.000 euro, thiết bị máy tính và 20 xe hơi sang trọng đã bị đưa ra công lý.
REvil Ransomware Gang- Bối cảnh
Nhóm đe dọa tội phạm mạng có động cơ tài chính Gold Southfield đã kiểm soát nhóm ransomware có tên là REvil nổi lên vào năm 2019 và lan nhanh như cháy rừng sau khi tống tiền 11 triệu đô la từ công ty xử lý thịt JBS.
REvil sẽ khuyến khích các chi nhánh của mình thực hiện các cuộc tấn công mạng đối với họ bằng cách đưa ra một tỷ lệ phần trăm tiền chuộc cho những người giúp thực hiện các hoạt động xâm nhập vào các máy tính được nhắm mục tiêu.
Vào tháng 7 năm 2021, các tin tặc làm việc dưới REvil đã khai thác lỗ hổng zero-day trong dịch vụ Nhà cung cấp dịch vụ được quản lý (MSP) do một công ty có tên Kaseya phát triển. Như thường lệ, những lỗ hổng này chưa được vá và do đó đang mở để khai thác. Việc thay đổi mã đã được triển khai trên toàn cầu đối với hơn 30 MSP trên toàn thế giới và 1.000 mạng kinh doanh do các MSP đó quản lý.
Các tin tặc đã thuê ransomware của họ cho những tên tội phạm mạng khác để một cuộc tấn công tương tự có thể xảy ra và làm gián đoạn hoạt động của những kẻ khác. Theo báo cáo, các cuộc tấn công ransomware được tiến hành liên tục như thế nào cho thấy hầu hết các nhóm hack sử dụng Ransomware-as-service bằng cách cho người dùng khác thuê dịch vụ của họ (những người thường dễ dàng truy cập vào hệ thống, mạng và thông tin cá nhân khác của nạn nhân). Colonial Pipeline, công ty đường ống dẫn dầu, hoạt động tại Hoa Kỳ, đã bị REvil tấn công như một phần của dịch vụ Ransomware.
Vào tháng 10 năm 2021, một hoạt động thực thi pháp luật đa quốc gia đã giành quyền kiểm soát các tài nguyên liên quan đến ransomware chính của REvil và phá bỏ chiến dịch darknet đang được tiến hành trên các máy chủ ToR ẩn danh.
Nhưng nhờ sự hợp tác giữa Mỹ và Nga, băng đảng REvil đã bị triệt hạ, và bản thân nhóm cũng bị hack. Trang web “Happy Blog” của nhóm tội phạm, được sử dụng để làm rò rỉ dữ liệu nạn nhân và tống tiền các công ty và cung cấp một con đường để tuyên dương các thành viên tham gia vào các cuộc tấn công thành công, đã bị buộc phải ngoại tuyến.
ReVil quay trở lại
Các nhà nghiên cứu an ninh mạng đã đưa ra các mẫu REvil ransomware. Phát hiện của họ, dựa trên các phát hiện của các mẫu đều cho thấy ngày tạo và chuỗi biên dịch giống hệt nhau cùng với một số thuộc tính khác, có nghĩa là cùng một người / nhóm có thể tạo ra nó – củng cố lập luận của họ rằng họ thực sự đã xác định được nhà phát triển ransomware REvil ban đầu và nên do đó, về mặt logic, kết luận rằng nhóm tội phạm mạng tự lưu đày được gọi là REvil đã trở lại. Gần đây, trang web rò rỉ Ransomware mới nhất đã được quảng bá thông qua diễn đàn RuTOR của Nga – một trang web bị cáo buộc là tiếp thị đã làm rò rỉ dữ liệu cho khách hàng.
Theo Vines, Các trang web Tor của REvil đã hoạt động trở lại.
Vào cuối tháng 4 năm nay, các nhà nghiên cứu bảo mật đã nhận thấy một số phần mềm độc hại được tìm thấy trong
các cuộc tấn công đã hoạt động trở lại sau một thời gian dài im ắng. Hai nhà nghiên cứu gần đây đã phát hiện ra một blog trên dark web được sử dụng để đăng tải các cuộc tấn công ransomware và nó đang lôi kéo những người khác tham gia vào xu hướng nguy hiểm này. Họ cũng nhận được tin tức rằng những kẻ tấn công đã tự lợi dụng để tuyển thêm các hacker ma.
Mẫu ransomware xác nhận sự trở lại:
Mẫu mới nhất đã sử dụng các giá trị kiểu GUID dài hơn, chẳng hạn như
3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4 cho các tùy chọn SUB và PID để theo dõi danh tính chiến dịch và đơn vị liên kết tương ứng.
REvil có trở lại không? – Làm thế nào bạn có thể chống lại?
REvil được biết đến là ransomware có khả năng phá hoại đặc biệt và sự trở lại của nó có nghĩa là các doanh nghiệp và cá nhân cần cảnh giác cao độ trước các cuộc tấn công có thể xảy ra. Còn quá sớm để nói liệu sự trở lại của băng đảng ransomware REvil có hiệu quả như người tiền nhiệm của nó hay không.
Nhưng thực tế là nó xuất hiện ngay sau khi hoạt động gỡ xuống cho thấy rằng đây có thể là mục đích của họ và các phương pháp bảo vệ web và bảo vệ ransomware tốt nhất được đề xuất là thường xuyên.
Khi nói đến việc bảo vệ trang web của bạn khỏi tin tặc và tội phạm, có một số phương pháp bạn có thể sử dụng – một số phương pháp trong số đó bao gồm:
Sử dụng máy quét ứng dụng web tự động, kiểm tra thâm nhập thủ công. Thiết lập chương trình chống phần mềm độc hại và chống vi-rút để quét bảo mật thường xuyên, v.v. Thực hiện các chương trình đào tạo bảo mật – người dùng cuối và nhân viên của bạn nên biết mối đe dọa ransomware và cách nó được đưa ra. Bật nguyên tắc “đặc quyền ít nhất” cho người dùng ứng dụng sẽ giúp bạn đảm bảo rằng không ai có thể truy cập bất kỳ phần nào của ứng dụng của bạn mà người dùng khác cũng không có quyền truy cập, điều này sẽ cho phép họ tránh mọi vi phạm bảo mật xảy ra. Hỗ trợ bộ phận bảo mật thông tin của bạn bằng cách giới thiệu các sáng kiến nâng cao nhận thức về mối đe dọa trên mạng dạy người dùng cuối và nhân viên cách nhận ra phương thức hoạt động của tội phạm mạng. Đảm bảo doanh nghiệp của bạn được bảo vệ khỏi việc tải xuống bất kỳ tệp thực thi nào được đính kèm với email đến hoặc đi để ứng dụng trang web của bạn không dễ bị tin tặc tấn công. Để ngăn những kẻ tấn công mạng xâm nhập vào các ứng dụng web của bạn, bạn nên định cấu hình Tường lửa ứng dụng web (WAF) để chặn truy cập vào các địa chỉ IP độc hại. Hơn nữa, việc cài đặt chứng chỉ SSL thích hợp để bảo vệ chống lại các cuộc tấn công Man-In-The-Middle hoặc sử dụng các plugin đăng nhập xác minh mã thông báo bảo mật của ứng dụng khách có thể giảm nguy cơ chống lại vi phạm dữ liệu. Nhận được sự hỗ trợ từ các nhà cung cấp dịch vụ an ninh mạng được quản lý đáng tin cậy như Indusface để đón đầu các mối đe dọa mới nổi và hỗ trợ giải quyết các vấn đề bảo mật trong thời gian thực. Đảm bảo rằng họ có các chứng nhận phù hợp, cập nhật tin tức mới nhất về an ninh mạng và luôn sẵn sàng nếu bạn cần hỗ trợ tại hiện trường.
Sự kết luận
Sẽ không có gì ngạc nhiên nếu nhóm ransomware REvil tiếp tục các cuộc tấn công vì (các) tác giả ban đầu của hiện thân trước vẫn tồn tại. Ngay cả những người bị bắt cũng có khả năng thử lại trong tương lai, điều này đặc biệt đáng sợ nếu bạn nghĩ về những kẻ lừa đảo trực tuyến này đã chuẩn bị như thế nào.
Việc đánh cắp danh tính kỹ thuật số, máy chủ và tệp dữ liệu của khách hàng vì ransomware có thể đồng nghĩa với việc mất rất nhiều thời gian và tiền bạc vì những cuộc tấn công này chỉ trở nên tồi tệ hơn theo thời gian.
Ngoài ra, tầm quan trọng của việc bảo vệ danh tiếng của bạn hoặc tránh làm cho nó bị tổn hại có thể được cho là không thể đo lường được. Do đó, các doanh nghiệp phải đảm bảo rằng thương hiệu, tài sản trí tuệ và thông tin cá nhân hoặc thông tin nhạy cảm của họ được bảo vệ khỏi bọn tội phạm mạng sử dụng ransomware tấn công hàng ngày.
.
